安全人员最近检测到另一个Dharma勒索软件变种,这次使用.bkpx文件扩展名。勒索软件旨在说服用户在BitCoins中支付巨额赎金,以便能够再次使用他们的文件。除此之外,勒索软件还会删除一个名为FILES ENCRYPTED.txt的文本文件。如果您想删除Dharma勒索软件的.bkpx变体,并查看有助于恢复某些文件的方法,我们建议您仔细阅读本文。
| 名称 | .bkpx勒索病毒(Dharma) |
| 类型 | 勒索软件,Cryptovirus |
| 简短的介绍 | 旨在加密您的文件并勒索您支付赎金以检索它们。 |
| 症状 | 名为FILES ENCRYPTED.txt的赎金票据被丢弃到用户PC上。文件扩展名为.bkpx。 |
| 分配方法 | 垃圾邮件,电子邮件附件,可执行文件 |
.bkpx勒索病毒 - 分发(Dharma系列)
对于用于感染计算机的 .bkpx勒索病毒,它可能会使用Trojan.Dropper感染文件,该文件可能显示为某种类型的合法文件。这些文件通常通过电子邮件发送给用户,如下所示:
电子邮件可能会将该文件添加为看似合法的电子邮件附件,其主要目的是欺骗受害者它应该不惜一切代价打开它。这些文件通常最终构成如下:
- 发票。
- 收据。
- 订单文件。
- 银行文件。
但这并不是用于感染病毒的所有方法,例如.bkpx Dharma勒索软件。恶意软件也可能将其病毒文件上载到受损的WordPress网站或其他可疑网站上,在这些网站上可能会出现您要下载的文件。这样的文件可能是:
- 程序设置。
- 便携式程序。
- 裂缝。
- 补丁。
- 关键发电机。
- 许可证激活器。
.bkpx勒索病毒 - 主要活动
一旦Dharma勒索软件感染了计算机,勒索软件就可能立即丢失其有效载荷。它可能包含多个文件,恶意文件可能位于以下Windows目录中:
- %AppData%
- %Local%
- %LocalLow%
- %Roaming%
- %Temp%
Dharma勒索软件还删除了它的FILES ENCRYPTED.txt赎金票据文件,如下所示:
此外,恶意软件还可能删除它的主要赎金票据文件,该文件出现在其他变种的Dharma勒索软件附近,主要区别在于使用的电子邮件:
除此之外,Dharma勒索软件的.bkpx变体还可以通过添加包含数据的值字符串来修改Run和RunOnce windows注册表子键,这些数据字符串将自动运行病毒的恶意文件。子键具有以下位置:
→HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Dharma勒索软件也是一种病毒,它不会让你的文件被恢复。恶意软件可能会删除计算机上的影子卷副本,并受其影响。为此,它可以在Windows命令提示符中以管理员身份执行以下命令:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
.bkpx勒索病毒 - 加密过程
Dharma勒索软件可以根据它们具有的文件扩展名来查看受感染计算机上的文件。.bkpx病毒小心不加密位于Windows系统文件夹中的文件,如System,System32和其他文件夹。据报道,这种勒索软件病毒所针对的主要文件如下:
- 影片。
- 图像文件。
- 档案。
- 音频文件。
- 文档。
加密后,文件无法再打开,并附加了vicitm的唯一ID和电子邮件,用于联系网络犯罪分子以及扩展名.bkpx。
由Dharma勒索软件加密的文件:
删除Dharma勒索病毒并恢复.bkpx后缀文件
在开始删除此Dharma勒索病毒软件的过程之前,我们建议您备份所有文件,以防万一。
对于Dharma这种病毒变种的删除过程,我们建议您遵循以下删除手册。如果手动删除说明似乎没有帮助删除所有Dharma病毒文件,专家强烈建议使用高级反恶意软件扫描程序。此类工具旨在使用Dharma勒索软件完全检测并删除所有相关对象,并确保您的PC在未来也将受到保护。
1.以安全模式启动PC以隔离和删除.bkpx 勒索病毒文件和对象
手动删除通常需要时间,如果不小心,您可能会损坏您的文件!
对于Windows XP,Vista和7系统:
1.删除所有CD和DVD,然后从“ 开始 ”菜单重新启动PC 。
2.
- 对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“ F8 ”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
- 对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“ F8 ”。
3.出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。在进行选择时,按“ Enter ”。使用管理员帐户登录计算机。当您的计算机处于安全模式时,屏幕的所有四个角都会出现“ 安全模式 ” 字样。
4.修复PC上恶意软件和PUP创建的注册表项。 可参照链接 修复由恶意病毒软件引起的Windows注册表错误
2.在您的PC上查找.bkpx勒索病毒创建的文件
在较旧的Windows操作系统中,传统方法应该是有效的方法:
1.单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项。
2.出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
3.之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置。现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序
4.尝试恢复.bkpx勒索病毒加密的文件
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试解密器。
方法3:使用Shadow Explorer
方法4:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
GANDCRAB v5.0.9加密勒索病毒删除 GANDCRAB v5.0.9文件恢复 可参照链接
关注服务号,交流更多解密文件方案和恢复方案:
